我/我如何通过 javascript 访问 sessionid cookie?

【问题标题】:how do i/can i access a sessionid cookie through javascript?我/我如何通过 javascript 访问 sessionid cookie?
【发布时间】:2013-10-08 02:47:34
【问题描述】:

我已经为 jquery 安装了 cookie 扩展,并且正在尝试访问 session id cookie。

我目前有两个 cookie 用于我的会话 - 请参见下面的屏幕截图:

然而,$.cookie() 只列出一个:

> $.cookie()
Object {csrftoken: "fFrlipYaeUmWkkzLrQLwepyACzTfDXHE"}
> $.cookie('sessionid')
undefined

我可以/我如何从 javascript 访问 sessionid cookie?

【问题讨论】:

  • 你不应该这样做,因为会话 id cookie 应该设置为 HTTP Only,从而阻止来自 javascript 的访问。确实,屏幕截图显示确实如此。
  • 对此的解释是否记录在某处?
  • 这是一个安全问题,因此会话 ID 不会被 xss 漏洞暴露。
  • 介意弹出您的评论作为答案吗?

标签: javascript jquery session cookies


【解决方案1】:

会话 id cookie 应标记为仅 HTTP,以防止来自 javascript 的访问。这是一个安全问题,通过 xss 漏洞防止会话劫持。

您可以在屏幕截图中看到该 cookie 确实被标记为 HTTP。

如果您想了解有关该标志的更多信息,请参阅here。最初由 IE 实现,现在大多数浏览器都支持该标志,并且未标记为 http-only 的会话 cookie 被认为是一个安全漏洞。另见here

【讨论】:

    猜你喜欢
    • 2013-07-02
    • 2021-07-01
    • 2011-05-14
    • 2014-03-06
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode